La confiance est un élément indispensable pour réussir la transformation numérique et, dans ce contexte, les tiers de confiance ont un rôle essentiel à jouer. Mais comment peut-on accorder sa confiance à un tiers de confiance ? Dans quelles conditions les labels et certifications peuvent constituer une réponse satisfaisante ? Tel était le thème de l’intervention de Cecurity lors des Assises de la confiance numérique le 16 juin 2014 à Paris.
Une conviction émerge au terme des débats entre les experts : confiance et numérique sont indissociables. Conséquence naturelle de ce constat : la transformation numérique de la société, riche de croissance, d’emplois ne pourra pas se réaliser sans des tiers de confiance.
A ce stade deux questions surgissent naturellement. Première question : comment peut-on faire confiance à un tiers de confiance ? Et plus fondamentalement qu’est que la confiance ?
Si l’on se réfère aux définitions du dictionnaire, la confiance renvoie à la notion d’espérance ou de sentiment de sécurité. Si l’on admet que la confiance est précieuse, indispensable, on se rend aussi compte au travers de sa définition qu’elle est par nature fragile et en bonne partie subjective.
Quatre approches pour faire confiance
Alors à qui peut-on faire confiance ? La première approche serait de faire confiance à ceux qui se prétendent dignes de confiance. « Aie confiance crois en moi », chante le serpent Kaa qui hypnotise Mowgli dans la version de Walt Disney du Livre de la Jungle alors qu’il s’apprête à l’étouffer entre ses anneaux. La confiance ce peut aussi être l’abus de confiance.
Une autre approche est de faire confiance à un partenaire avec lequel on a l’habitude de collaborer de longue date. Les expériences positives du passé permettent de faire la prévision que les choses vont à nouveau se passer au mieux. Cette approche n’est pas adaptée pour ce qui a trait aux nouveautés inédites, aux changements radicaux ou aux innovations de rupture. On peut même y voir un risque d’immobilisme.
Troisième approche, ce que l’on pourrait appeler la confiance P2P ou confiance entre égaux. Il s’agit de systèmes d’évaluations, de notations, par une masse de consommateurs et non par quelques spécialistes. C’est une tendance de fond qui a déjà largement bouleversé les secteurs de l’hôtellerie, des restaurants, des critiques de films. Ces dispositifs relativement novateurs nécessitent, pour être fiables, la participation d’un grand nombre de contributeurs. Avec peu d’avis, on risquerait d’être confronté à la situation de ce célèbre auteur britannique de romans policiers qui, sous pseudonyme, encensait ses propres ouvrages et critiquait ceux de ses confrères sur Amazon.com. Pour les dispositifs de confiance numérique, on y viendra sans doute un jour car cela semble être le sens de l’histoire, mais c’est encore très probablement prématuré.
Reste une dernière approche qui consiste à miser sur le caractère transitif de la confiance. Si des personnes ou des organisations à qui j’accorde ma confiance accordent leur confiance à des produits ou services que je ne connais pas intimement, je suis alors en mesure d’accorder un certain niveau de confiance à ces produits ou services. Il s’agit là de l’essence même de la labellisation et de la certification.
La labellisation procure un avantage essentiel en ce qu’elle permet aux clients d’économiser la ressource la plus rare et la plus précieuse dans notre économie : le temps. Grâce à une marque distinctive, un logo affiché, l’acteur économique à la recherche d’une solution va économiser d’une part le temps qu’il a fallu à des experts pour définir des exigences correspondant à un état de l’art et d’autre part le temps qu’il a fallu à des auditeurs pour vérifier la conformité d’un produit ou d’un services à ces exigences.
C’est comme cela que l’on peut être conduit à choisir un poulet arborant un Label Rouge sans avoir en tant que consommateur une idée précise de l’alimentation ou des conditions de vie du gallinacé. Les labels dispositifs de confiance sont par nature pertinents pour favoriser l’adoption des technologies et services de confiance numérique qui peuvent être complexes pour les non spécialistes.
Profusion des labels et le risque d’uniformisation
A ce stade on peut se demander quelles seraient les objections qui pourraient être avancées pour réduire la portée de ces dispositifs ? Deux sujets doivent être examinés : la profusion des labels et le risque d’uniformisation.
Certification NF 461 Système d’archivage électronique, certification NF Logiciel coffre-fort numérique, Label Coffre-fort électronique et Label Tiers-archiveur de la Fédération des Tiers de Confiance, Certificat de sécurité de premier niveau de l’ANSSI pour les coffres-forts des jeux et paris en ligne, label CNIL pour les services de coffres-forts numérique, et bien d’autres …. En matière de confiance numérique et notamment d’archivage électronique il y a une profusion de labels et de certificats.
Est-ce véritablement un problème ? Chaque label va avoir sa spécificité, son périmètre. Il s’agira d’un produit ou d’un service ; les exigences à respecter porteront sur la sécurité, l’interopérabilité, l’intégrité ou encore la protection des données personnelles. Les différents labels vont vivre, se développer, se compléter voire à terme fusionner et les meilleurs seront confortés par le marché. Il ne sert à rien d’attendre un hypothétique et inaccessible label unique de la confiance numérique sauf à vouloir torpiller l’approche de la labellisation et de figer ainsi les positions hégémoniques du moment.
Si la profusion des labels n’est pas un véritable problème, plus importante est la question liée au risque d’uniformisation. Les exigences d’un label doivent être envisagées comme un minimum exigible et non comme une liste limitative de fonctionnalités qu’il ne faut pas modifier. Chaque produit ou service labellisé doit pouvoir apporter ses propres valeurs ajoutées, ses propres innovations à condition qu’elles ne remettent pas en cause le respect des exigences. La labellisation de la confiance ne doit en aucun cas être un frein à l’innovation ou un moyen pour réduire la concurrence.
Pour conclure, on peut à l’évidence labelliser la confiance numérique avec les dispositifs de confiance que sont les labels. En matière de confiance numérique, le label, c’est le tiers de confiance des tiers de confiance.
Arnaud Belleil
Voir également la vidéo de cette intervention
A lire aussi